Guía de usuario
Cómo usar Arpass, por escenario.
📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.
🆕 Primer uso
El flujo inicial para crear tu vault seguro.
Visita arpass.io. Aparece la pantalla "Crear unidad segura".
Ingresa una contraseña maestra dos veces. Esta es tu contraseña de acceso a Arpass — nunca la compartas y recuérdala.
Haz clic en "Crear unidad segura". Luego registra un Passkey (autenticación del dispositivo) usando Touch ID / Face ID.
El Secreto de Recuperación se muestra una sola vez (formato: RS1-XXXX-XXXX-…). Guárdalo en un lugar seguro.
Haz clic en "Entendido" para ingresar a la unidad.
🔑 Protege tus llaves (Passkey) y tu Secreto de RecuperaciónLa forma más fácil de abrir tu unidad en un dispositivo nuevo es una
clave de acceso sincronizada (Llavero de iCloud / Administrador de contraseñas de Google) o una
llave de seguridad como una YubiKey. Con una de estas, un dispositivo nuevo se abre solo con "contraseña maestra + clave de acceso" (sin necesidad de Recovery).
- El Secreto de Recuperación es tu último recurso de recuperación para cuando pierdes todas tus claves de acceso a la vez. Se muestra una sola vez, así que imprímelo o anótalo en un lugar seguro.
- Si pierdes los tres — contraseña maestra, todas las claves de acceso y el Secreto de Recuperación — la recuperación es imposible (Arpass no los conserva).
- Guarda el Secreto de Recuperación en un lugar distinto al de tu contraseña maestra.
🔓 Uso diario
Obtener una contraseña
Visita arpass.io → pantalla de bloqueo
Ingresa la contraseña maestra → autentícate con Touch ID / Face ID
Aparece la lista de contraseñas. Usa el cuadro de búsqueda para filtrar por nombre del sitio.
Haz clic en una entrada → vista de detalle. Usa "👁 Mostrar" para revelar la contraseña, "📋 Copiar" para copiarla al portapapeles.
Guardar una nueva contraseña
Haz clic en "+ Agregar nuevo"
Ingresa el nombre del sitio, URL, nombre de usuario y contraseña. Usa "🎲 Generar" para obtener una contraseña segura.
Haz clic en "Guardar" para escribir en Arweave (consume 1 crédito)
📄 Almacenamiento de archivos
Almacena PDFs, imágenes y cualquier archivo cifrado para siempre. Ideal para documentos contables (recibos / facturas / contratos / informes médicos). Compatible con los requisitos de búsqueda de la ley japonesa de libros electrónicos (fecha / monto / contraparte).
Añadir un archivo
Abre la pestaña «📄 Archivos» en la parte superior de la app
Haz clic en «+ Añadir archivo»
Elige un archivo (PDF / imagen / texto / Word / Excel, etc., hasta 30 MB)
Se muestra la vista previa. Para imágenes grandes, usa «🗜️ Comprimir» para reducir (a ~200-500 KB)
Ingresa Contraparte o Título (al menos uno requerido); fecha / monto / moneda son opcionales
Haz clic en «Guardar» para cifrar + escribir en Arweave
💡 Los archivos menores de 100 KiB cuestan $0 (pasados a través del Free Tier de Turbo). Una foto de 1 MB cuesta ~$0.13. Si el costo real está por debajo del estimado, la diferencia se reembolsa instantáneamente.
Autocompletar OCR (opcional)
Extrae automáticamente fecha / monto / contraparte / descripción / etiquetas de imágenes de recibos o facturas / PDFs. Requiere tu propia API key de OpenAI (las imágenes se envían directamente a OpenAI; los servidores Arpass no están involucrados).
En Configuración de Arpass (⚙️) → sección inferior "📷 OCR de recibos (opcional)" → ingresa la clave → "Guardar y verificar"
Cuando seleccionas una imagen o PDF, aparece el botón "📷 Autocompletar desde imagen (OpenAI)"
Haz clic para extraer; ~\$0.005 por imagen se cargan a tu cuenta de OpenAI
Los campos vacíos se completan automáticamente (siempre sobreescribe — revisa y edita según sea necesario)
Buscar archivos
Caja de búsqueda en la parte superior: filtra por fecha / monto / contraparte / título — al instante
Clic en «🎛️» para filtros avanzados: rango de fechas, rango de montos, contraparte/título, tipo, etiquetas — combinados AND
Búsqueda de contraparte japonesa con NFKC + hiragana⇄katakana («セブン» coincide con «せぶん»)
Corregir y eliminar archivos
Haz clic en una fila → modal de detalle
Botón «✏️ Edit» para corregir (motivo obligatorio, registrado append-only)
Botón «🗑️ Delete» para eliminación lógica (motivo obligatorio, original y datos en Arweave preservados)
Botón «📜 History» muestra el log de auditoría (creación/correcciones/eliminaciones todas visibles)
📋 El historial de correcciones / eliminaciones es append-only, por lo que puede usarse como evidencia para auditorías fiscales (compatible con la ley de libros electrónicos). La eliminación física es imposible, pero esto también es una ventaja legal de "el rastro se preserva".
Descargar como CSV
Clic en el botón «📥 CSV» en el header de la pestaña Archivos
Todos los metadatos descargados como arpass-files-YYYY-MM-DD.csv
UTF-8 BOM asegura que el japonés no se rompe en Excel / Numbers / Google Sheets
Columnas: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url
📱 Cambio de dispositivo (abrir el mismo vault en nuevo dispositivo)
Cuando compraste un nuevo iPhone o Mac y quieres acceder a tu unidad existente. Si tienes una clave de acceso sincronizada o una llave de seguridad (YubiKey), puedes abrirla solo con tu contraseña maestra y la clave de acceso, sin necesidad de Recovery.
Abre arpass.io en el nuevo dispositivo → haz clic en "📲 Restaurar una caja fuerte creada en otro dispositivo"
Si tienes una clave de acceso sincronizada (Llavero de iCloud / Administrador de contraseñas de Google) o una YubiKey: haz clic en "🔑 Restaurar con clave de acceso + Contraseña Maestra (sin Recovery)", ingresa tu contraseña maestra → autentícate con la clave de acceso. No se necesita Recovery.
Si no tienes una clave de acceso a mano: ingresa tu contraseña maestra + el Secreto de Recuperación en papel (📷 el escaneo QR también funciona).
Cuando el desbloqueo es exitoso, se registra automáticamente un Passkey dedicado en este nuevo dispositivo.
A partir de ahora, este dispositivo se desbloquea solo con "contraseña maestra + Touch ID / Face ID".
🔑 Olvidé la contraseña maestra
Olvidaste la contraseña que memorizabas, o quizás la cambiaste por error.
En la pantalla de bloqueo, haz clic en "🔑 Olvidé la Maestra → Restablecer con Passkey + Recuperación"
Ingresa el Secreto de Recuperación en papel (📷 el escaneo QR también funciona)
Autentícate mediante Passkey con Touch ID / Face ID
Aparece el mensaje "Establece una nueva contraseña maestra" → ingresa una nueva contraseña
La unidad se abre + la nueva contraseña se aplica automáticamente a cada envoltura
💡 Establecer o cambiar tu contraseña maestra crea un nuevo Passkey en este dispositivo (el Passkey antiguo ya no puede desbloquear, así que puedes eliminarlo en "Gestionar dispositivos registrados" si ya no lo necesitas). Si usas un passkey sincronizado, en tus otros dispositivos solo tienes que elegir el nuevo Passkey e introducir la nueva contraseña la próxima vez. Si cada dispositivo tiene su propio Passkey, vuelve a desbloquear en esos dispositivos con "nueva contraseña + Recovery Secret".
🔐 How to save the Recovery Secret
When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.
🏆 BEST — Print on paper
Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password
💡 Print later is also available. But you must print before proceeding (= it's shown only once).
🥈 GREAT — Switch to YubiKey-only mode
A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.
🥉 OK (mobile / PC compatible) — Save image
The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.
⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.
iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).
🚫 Avoid
- Sending to yourself via plain Email / LINE / Slack / Discord
- Saving to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Storing in the same place as your master password
- Taking a screenshot of the QR code (= screen capture is outside the app — use the "Save image" button above which is optimized for naming and size)
📲 How to restore later
To restore on a new device:
Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks
🆘 El Passkey de este dispositivo desapareció
Cambiaste de perfil de navegador, o usas un nuevo dispositivo con Touch ID nuevo.
En la pantalla de bloqueo: "📱 Passkey perdido → Desbloquear con Maestra + Recuperación"
Ingresa la contraseña maestra + Recuperación en papel (escaneo QR aceptado)
El desbloqueo es exitoso → Configuración → "🔐 Registrar Passkey en este dispositivo" para crear un nuevo Passkey
A partir de ahora este dispositivo puede desbloquearse nuevamente con "contraseña maestra + Touch ID"
🔐 Modo solo YubiKey
Un modo que abre tu unidad únicamente con una llave de seguridad como una YubiKey: sin contraseña maestra y sin Recovery Secret. No hay nada que memorizar: basta con tocar cualquiera de tus YubiKeys registradas para desbloquear. Es una opción avanzada para quienes quieren depender por completo de una llave física.
💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass
⚠️ Lee esto antes de crearlaEl modo solo YubiKey
no tiene rescate por contraseña maestra ni Recovery Secret. Si pierdes
todas tus YubiKeys registradas, la unidad
no podrá abrirse nunca más (nosotros tampoco podemos recuperarla).
- Por eso debes registrar dos o más YubiKeys al crear la unidad, de modo que si pierdes o se rompe una, otra todavía pueda abrirla.
- Guarda la(s) llave(s) de repuesto en otro lugar seguro (llave de respaldo).
- Si no te importa memorizar una contraseña, el modo estándar (contraseña maestra + Passkey) tiene más opciones de recuperación y es más seguro.
Crear una unidad solo YubiKey
Abre arpass.io → en la pantalla «Crear una unidad segura» elige «🔑 Usar solo YubiKey»
Elige cuántas YubiKeys registrar (dos o más)
Marca la casilla que confirma que entiendes que la unidad no se puede recuperar si se pierden todas las YubiKeys
Pulsa «Crear en modo YubiKey» y, siguiendo las indicaciones, inserta (o acerca por NFC) y toca tu primera YubiKey
Registra las YubiKeys restantes una a una (se te pedirá cambiar de llave)
Cuando todas estén registradas, la unidad se crea y se abre de inmediato
Abrirla en otro dispositivo
En el otro dispositivo abre arpass.io → haz clic en «📲 Restaurar una unidad segura creada en otro dispositivo»
Elige «🔑 Abrir tu unidad con una YubiKey desde otro dispositivo»
Inserta (o acerca por NFC) y toca cualquiera de tus YubiKeys registradas
La unidad se abre: sin contraseña maestra ni Recovery
Añadir una YubiKey
Con la unidad abierta, ve a Ajustes (⚙) → abre la sección «🔑 YubiKeys registradas»
Pulsa «+ Añadir una YubiKey»
Primero toca una de tus YubiKeys ya registradas para confirmar tu identidad
Después cambia a la nueva YubiKey que quieres añadir y tócala
La nueva YubiKey queda registrada y a partir de entonces también puede abrir la unidad
📲 Configura otro dispositivo rápidamente con un código de añadir dispositivo
Desde un dispositivo que ya puede desbloquear, transmite <strong>credentialId y la etiqueta de índice de Arweave</strong> a otro dispositivo (= uno que también deba desbloquear con la misma YubiKey). Es más rápido y fiable que «Abrir con la YubiKey de otro dispositivo». En Android Chrome es prácticamente obligatorio, ya que un bug de Chrome impide que el selector habitual funcione.
💡 Seguridad: El código contiene solo información pública (credentialId + etiqueta de Arweave). No incluye PRF / claves de cifrado / Recovery / Master, por lo que aunque se filtre nadie puede desbloquear sin la YubiKey física. Trátalo como efímero (bórralo tras pegarlo) por limpieza.
Lado emisor (= dispositivo ya desbloqueado): Con la unidad abierta, Ajustes (⚙) → sección «🔑 YubiKeys registradas»
Pulsa «📲 Mostrar código para otro dispositivo»
Aparece una cadena que empieza por «AP1....» junto con un código QR
Lado receptor (= dispositivo nuevo): En la pantalla de creación de arpass.io, pulsa el enlace «📲 Abrir con código de añadir dispositivo (AP1....)» abajo
Aparece el campo: pega el código del lado emisor o usa el botón «📷» para escanear el QR con la cámara
Pulsa «Aplicar código → Abrir con YubiKey» y toca tu YubiKey
El desbloqueo se completa y este dispositivo puede abrir normalmente en adelante
💡 Usos: ① Permitir que Android Chrome funcione (ruta obligatoria), ② También en Mac / Win / iPhone, omitir el toque del selector para acelerar la configuración, ③ Ruta estándar al desplegar una sola YubiKey en muchos dispositivos. Funciona cualquier dispositivo → cualquier dispositivo.
💡 Acerca de Safari en Mac: Safari en Mac implementa WebAuthn de forma distinta a otros navegadores, por lo que una unidad YubiKey creada o usada en Safari de Mac queda limitada a Safari de Mac y no puede abrirse en Chrome, Edge, iPhone ni Android (y viceversa). Para compartir la misma unidad entre varios entornos, usa en tu Mac un navegador distinto de Safari (Chrome / Edge).
🏢 Sign up as an employee (Business mode)
If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).
Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.
📲 Employee device-add / total lockout recovery
If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.
Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.
💳 Tarifas y pago
La facturación es pospago. Cada operación (añadir, editar, borrar) suma la tarifa del día a su uso; páguelo todo cuando quiera. Leer y copiar es gratis.
Con la unidad desbloqueada, haz clic en "💳 Saldo" en el encabezado superior derecho
Se abre el modal de selección de paquete (Starter / Standard / Heavy / Business / Family)
Haz clic en un paquete → el checkout de Stripe se abre en una nueva pestaña
Ingresa los datos de tu tarjeta de crédito → completa el pago
La nueva pestaña se cierra automáticamente y vuelves a la unidad → notificación: "✅ +N créditos aplicados"
💡 Tu estado desbloqueado se conserva. No requiere reingreso durante el pago.
🔄 Reemitir Recovery Secret
Si pierdes el papel o sospechas una fuga. Se requiere el Recovery Secret antiguo.
Pantalla de la unidad → Configuración (ícono ⚙) → sección "Reemitir Secreto de Recuperación"
Ingresa tu contraseña maestra actual
Elige entre dos modos:
- A. Ligero (recomendado): Para cuando se perdió el papel pero no sospechas robo. El más rápido, sin operación en el servidor.
- B. Completo (sospecha de robo): Para cuando el Secreto de Recuperación anterior pudo haber sido filtrado. Re-encripta el contenido y cambia a un nuevo identificador de cuenta.
Haz clic en "Emitir nuevo Secreto de Recuperación"
El nuevo Secreto de Recuperación aparece en pantalla → siempre imprímelo y guárdalo en un lugar seguro
Diferencia entre el Caso A y el B (importante):
- Caso A: Los datos anteriores en Arweave aún pueden ser descifrados por cualquiera que tenga el Secreto de Recuperación antiguo + la Maestra. La "seguridad de datos pasados" NO está garantizada.
- Caso B: Los datos anteriores en Arweave son permanentemente indescifrables para cualquiera que no tenga el MEK anterior. Nota: los sobres antiguos en Arweave no pueden eliminarse (Arweave es inmutable).
🔐 Gestionar dispositivos registrados
Verifica qué dispositivos tienen Passkey registrado, renómbralos o elimínalos.
Pantalla de la unidad → Configuración → sección "🔐 Dispositivos registrados"
Aparece la lista de dispositivos registrados (este dispositivo aparece resaltado en amarillo)
Botón "Renombrar": cambia a un nombre descriptivo (ej., "Mac Studio", "iPhone 15")
Botón "Eliminar" (dispositivos que no sean este): desvincula el Passkey de ese dispositivo de la unidad
Límite de la eliminación: si una copia del MEK permanece en el dispositivo eliminado, los datos anteriores en Arweave aún pueden descifrarse. La invalidación completa requiere reemitir el Secreto de Recuperación (Caso B, rotación de MEK).
❓ Preguntas frecuentes
¿Qué pasa si pierdo los tres: contraseña maestra, Passkey y Recovery?
No es posible recuperarlo. Arpass no conserva nada, por lo que no podemos ayudarte. Este es el costo del diseño de conocimiento cero — no podemos ver las contraseñas de nadie, pero perder los 3 factores implica una pérdida total.
Perder 2 aún es recuperable (el factor restante puede restaurar). Antes de perder los 3, copia el Secreto de Recuperación en varios lugares.
¿Pueden los operadores ver mis contraseñas?
No. Todo el cifrado ocurre en tu navegador, y el contenido almacenado en Arweave está doblemente cifrado antes de pasar por los servidores de Cloudflare.
- Interior: AES-256-GCM (clave = MEK, generada aleatoriamente, nunca enviada al servidor)
- Exterior: AES-256-GCM (clave = HKDF(vault-id), el vault-id tampoco se envía al servidor)
- Lo que ve el servidor: bytes aleatorios cifrados (indescifrables) + información de saldo
Los detalles pueden verificarse a nivel de código en el espejo público arpass-spec (AGPL-3.0).
¿Los datos cifrados en Arweave permanecen para siempre?
Sí — Arweave es almacenamiento permanente, por lo que los datos escritos no desaparecen. Esto es a la vez una ventaja ("tus contraseñas seguirán existiendo 200 años después") y una desventaja ("los datos pasados permanecen para siempre").
Aunque cambies una contraseña, el texto cifrado anterior permanece en Arweave. Pero ese texto cifrado anterior solo puede descifrarse con el MEK anterior, que solo tú conoces. Después de reemitir el Secreto de Recuperación (Caso B), las escrituras posteriores se cifran con una nueva clave sin relación con el pasado.
¿Cuánto cuesta?
Agregar, editar o eliminar una contraseña consume 1 crédito cada vez. Guardar 10 contraseñas ≈ 10 créditos. El paquete "Starter 100" ($2) es suficiente para el uso diario. La mayoría de los usuarios solo necesita comprar un paquete una o dos veces al año.
Is it OK to save the QR code as a photo?
OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.
Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.
For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.
¿Qué pasa si edito en varios dispositivos a la vez?
Arpass usa control de concurrencia optimista, por lo que el segundo dispositivo en guardar recibe un error "Actualizado en otro dispositivo". Desbloquea de nuevo para obtener la versión más reciente y vuelve a editar.
🛡️ Mejores prácticas de seguridad
Arpass utiliza descifrado 2 de 3 (cualquier combinación de 2 de: contraseña maestra + Passkey + Secreto de Recuperación puede descifrar). Por diseño, filtrar solo 1 factor no descifra la unidad. Sin embargo, la filtración simultánea de varios factores es peligrosa. Sigue estas pautas.
✅ Recomendado
- Usa la contraseña maestra exclusivamente para Arpass. No la reutilices en otros servicios (= para que una filtración en otro lugar no afecte a Arpass)
- Imprime el Secreto de Recuperación en papel y guárdalo físicamente (caja fuerte, cajón, un familiar de confianza, etc.)
- Guarda el Secreto de Recuperación en un lugar diferente al de la contraseña maestra (para que no puedan robarse ambos a la vez)
- Ten varios dispositivos de confianza (para tener una vía de recuperación si se pierde un Passkey)
- Prueba periódicamente las operaciones de respaldo (ej., intenta "📲 Registrar este dispositivo" en otro dispositivo)
❌ Evitar
- Recovery Secret saved to iCloud / Google Photos without E2E settings ON (= provider technically has access)
- Recovery Secret sent via plain Email / LINE / Slack / Discord (= stored on provider, persists in history)
- Recovery Secret saved to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Master password stored in browser autofill / Keychain (= passkey and master password on the same device)
- Master password sent to others via Slack / email / SMS
- Recovery Secret paper stored in the same place as the master password note
⚠️ Casos de uso no recomendados
Este servicio es un gestor de contraseñas de uso general para personas y pequeñas empresas. No es adecuado para:
- Credenciales de secretos de Estado o relacionadas con actividades militares
- Credenciales de administrador de grandes instituciones financieras (los accesos bancarios de consumidores regulares sí están dentro del alcance)
- Acceso a registros de pacientes en instituciones de salud (dominios sujetos a HIPAA / leyes específicas de protección de datos)
- Frases semilla de billeteras de criptomonedas (usa una billetera de hardware dedicada)
No asumimos ninguna responsabilidad por daños derivados del uso de este servicio en estos escenarios. Consulta los Términos de Servicio para más detalles.
🚨 Si sospechas una fuga
Si la contraseña maestra o el Secreto de Recuperación pudieron haberse filtrado, actúa de inmediato:
- Solo la Maestra: Configuración → "Cambiar contraseña maestra"
- Solo la Recuperación: Configuración → "Respuesta a incidentes de seguridad" → Reemisión de Recuperación (Caso A, ligero)
- Ambas, o robo del dispositivo: Configuración → "Respuesta a incidentes de seguridad" → Reemisión de Recuperación (Caso B, la rotación de MEK invalida las envolturas del dispositivo perdido y la Recuperación anterior)
Consulta la Respuesta a incidentes de seguridad en la Configuración de la pantalla de la aplicación para más detalles.
🔬 Visión general del diseño criptográfico (avanzado)
El diseño criptográfico de Arpass es descifrado 2 de 3. Cualquier combinación de 2 de los 3 factores puede descifrar la unidad.
- A: Contraseña maestra (memorizada; Argon2id (memory-hard, 64 MiB / t=3 / p=4))
- B: Passkey (almacenado en el Secure Enclave del dispositivo; salida de 32 bytes mediante WebAuthn PRF)
- C: Secreto de Recuperación (apunte en papel; 160 bits de entropía)
Rutas de descifrado
- A + B: Desbloqueo diario (contraseña + Touch ID) — el más rápido. Con envelope v7, si tienes una clave de acceso sincronizada / YubiKey, incluso un dispositivo nuevo se abre solo con estos dos
- A + C: Cuando el Passkey no está disponible (contraseña + papel)
- B + C: Cuando se olvidó la contraseña (Touch ID + papel)
Cifrado del cuerpo y cifrado externo
Cifrado en dos capas:
- Interior: AES-256-GCM(MEK, IV, datos de la unidad). El MEK es una clave aleatoria de 256 bits generada al crear la unidad, envuelta por cualquier combinación de 2 de los 3 factores anteriores.
- Exterior: AES-256-GCM(HKDF(Secreto de Recuperación), IV, sobre interior). La clave exterior se deriva directamente de tu Secreto de Recuperación y nunca se expone al servidor ni a Arweave.
Los bytes en Arweave aparecen como completamente aleatorios; la estructura JSON y los nombres de los algoritmos son externamente indistinguibles. Incluso el nombre de la etiqueta de Arweave adjunta a cada escritura se aleatoriza por usuario, de modo que los observadores externos no pueden identificar qué transacciones pertenecen a Arpass.
Con envelope v7, esta clave exterior también se almacena dentro del Passkey (WebAuthn user.id). La clave está protegida por el hardware del Passkey y nunca aparece en los datos públicos de Arweave, por lo que un dispositivo nuevo puede descifrar la capa exterior sin ingresar el Secreto de Recuperación.
Qué hay en el servidor
En el servidor (Cloudflare KV) solo se guarda su registro de uso. Las cuentas se identifican por el hash de su clave pública (ECDSA P-256); la clave externa, la contraseña maestra y el Recovery Secret nunca llegan al servidor.
Para la especificación completa: